211service.com
Facebook vill tillhandahålla ditt Internet-körkort
Även om det inte är uppenbart för många, håller Facebook på att förvandla sig från världens mest populära webbplats för sociala medier till en kritisk del av Internets identitetsinfrastruktur. Om det lyckas kommer Facebook- och Facebook-konton att bli ett ännu större mål för hackare.
När säkerhetspersonal diskuterar om Internet behöver ett identitetsskikt – ett enhetligt protokoll för att autentisera användares identiteter – röstar ett växande antal webbplatser med sin kod och antar Facebook Connect som ett sätt för alla med ett Facebook-konto att logga in på webbplatsen på ett klick på en knapp.
Facebook introducerade Connect redan i juli 2008, och erbjuder tredjepartswebbplatser verktyg för att samordna med användarinformationen som Facebook har, inklusive inloggningar. Således hade webbplatser möjlighet att tillåta Facebook-användare att identifiera sig med sina Facebook-identiteter.
Så till exempel ger webbstatistikleverantören Alexa nya användare valet att skapa ett konto genom att ange ett användarnamn och ett lösenord eller genom att helt enkelt klicka på knappen Anslut till Facebook. Välkända webbplatser som också använder Connect inkluderar Internet Movie Database, Ask.com och ESPN. Andra kommer nästan säkert att hoppa på tåget 2011.
Facebooks identitetssystem kan mycket väl tillhandahålla något som VeriSign, Microsoft, Yahoo och Google alla har kämpat för att erbjuda: ett enda körkort för Internet. (Detta lämnar frågan om det är bra för ett företag att ha en sådan maktposition åt sidan.)
En unik kombination av faktorer gör Facebook väl lämpad att vara arkivet för människors identiteter på Internet. Till skillnad från många populära webbplatser kräver det att användare registrerar sig och loggar in. Och Facebooks användarvillkor kräver att användarna uppger sina riktiga namn och information – Facebook har faktiskt avslutat konton som skapats med till synes falska namn eller för fiktiva karaktärer. Eftersom Facebook-användare investerar sina konton med en enorm mängd hållbart personligt innehåll – inklusive fotografier, kontaktinformation och kopplingar till deras sociala nätverk – kommer de sannolikt att behålla en långvarig relation med webbplatsen.
Denna uthållighet av verklig identitet sätter Facebook i en position att lösa ett av de mest akuta problemen på internet idag – spridningen av användarnamn och lösenord.
I motsats till dagens praxis finns det ingen anledning för de flesta webbplatser att tvinga sina användare att skapa användarnamn och lösenord. De flesta webbplatser behöver inte ens vill eller behöver hantera sina användares identiteter – de vill helt enkelt ha ett sätt att på ett tillförlitligt sätt identifiera sina användare över tid. Mediewebbplatser vill till exempel kunna tillskriva kommentarer och begränsa spam. Webbplatser för privatekonomi vill ge användare ett sätt att övervaka mycket personlig information på ett säkert sätt – till exempel en portfölj av aktier som användaren kan komma in i.
Dessutom har det sina risker att upprätthålla en användaridentitetsinfrastruktur – vilket blev smärtsamt tydligt förra månaden när hackare bröt sig in på servrar som drivs av Gawker Media och laddade ner användarnamn och lösenord för mer än en miljon av Gawkers konton. Även om lösenorden var krypterade var många lätta att gissa, så kontona kunde lätt knäckas, enligt en analys av attacken av säkerhetsforskare vid University of Cambridge. Efter attacken skickade flera orelaterade webbplatser, inklusive LinkedIn och Woot, e-post till sina användare och varnade dem att ändra sina lösenord om dessa var samma som de använde för Gawker.
Facebook Login låter alla webbplatser på planeten använda sin identitetsinfrastruktur – och underliggande säkerhetsåtgärder. Det är enkelt att implementera Facebook Login, helt enkelt genom att lägga till några rader kod till en webbserver. När den ändringen har gjorts kommer webbplatsens användare att se en Anslut med Facebook-knapp. Om de redan är inloggade på Facebook (har nyligen besökt webbplatsen), kan de bara klicka på den och de är in. Om de inte har loggat in nyligen, uppmanas de att ange sitt Facebook-användarnamn och lösenord.
En intressant sidofördel för webbplatsoperatörer är att Facebook Login förser webbplatsen med användarnas riktiga namn (i de flesta fall) och eventuellt en mängd annan information, såsom användarnas vänner och gillar. För närvarande debiterar Facebook inte webbplatser för att använda sin identitetsinfrastruktur eller få tillgång till denna ytterligare information, även om Facebook säkert skulle kunna göra det i framtiden.
Facebook är redan väl förtrogen med internetsäkerhetsfrågor, helt enkelt för att det har personuppgifter för mer än 500 miljoner människor. Den ökade användningen av Facebook-plattformen för saker utöver sociala medier – en bank i Nya Zeeland, till exempel, tillkännagav i november att den skulle tillåta kunder att få tillgång till bankinformation på Facebook – väcker uppenbarligen nya farhågor. Och om företaget utökar sin räckvidd för att erbjuda en universell inloggning på webben kommer de utmaningar som det sannolikt kommer att möta att bli ännu större.
Under de senaste åren har Facebook faktiskt vidtagit åtgärder för att förbättra säkerheten för sin plattform på flera sätt.
Till exempel introducerade Facebook förra året ett system som låter användare begära ett engångslösenord för att logga in från en offentlig terminal som kan ha spionprogramvara för tangenttryckningar installerad. Användare skickar ett SMS som innehåller bokstäverna otp till 32665 (FBOOK) från en registrerad mobiltelefon, och Facebooks servrar skickar tillbaka ett lösenord som bara kan användas en gång för att logga in på användarens konto. Teorin är att det inte spelar någon roll om en hackare kör en lösenordssniffer, eftersom lösenordet inte fungerar en andra gång.
En annan innovation är sättet som Facebook tillåter användare att övervaka de olika webbläsarna och enheterna från vilka de loggar in på Facebook. Genom att klicka på Kontoinställningar rullgardinsmenyn och väljer avsnittet Kontosäkerhet, kan Facebook-användare se alla enheter som för närvarande är autentiserade, vilka som helst kan fjärrloggas ut - användbart om du råkar lämna dig själv inloggad på dina föräldrars dator. Du kan också låta Facebook skicka ett SMS-meddelande till din mobiltelefon när en ny enhet kommer åt ditt Facebook-konto. Naturligtvis, om du ser en anslutning från en maskin som du inte känner igen, är det dags att ändra ditt lösenord.
Tyvärr har Facebook fortfarande två viktiga sårbarheter som gör dess webbplats betydligt mindre säker än de flesta amerikanska banker: dess beroende av ett enda användarnamn och lösenord för att få tillgång till ett konto, och dess användning av en okrypterad cookie för att spåra vilka webbläsare är inloggade.
Kombinationen av användarnamn och lösenord är en svag punkt. Facebook-konton kan äventyras av en angripare som kan stjäla denna information från en annan webbplats – eller gissa det genom att prova många kombinationer i följd (en så kallad brute-force attack).
Vi har byggt system för att skydda mot den här typen av brute-force-attacker, säger Simon Axten, talesperson för Facebook. Om vi till exempel upptäcker ett antal misstänkta inloggningsförsök för ett visst konto kommer vi att kräva en CAPTCHA, och vi kan till och med tillfälligt stänga av åtkomsten till kontot.
Facebook övervakar ett antal signaler, inklusive plats och enhet, säger Axten, för att avgöra när ett konto utsätts för en ihållande attack. När vi har flaggat ett försök – även om rätt inloggningsuppgifter har angetts – kommer vi att kräva att personen som loggar in ger ytterligare autentisering genom att till exempel svara på en säkerhetsfråga, ange en kod som skickas via SMS eller identifiera vänner taggade i foton som kontoägaren har tillgång till.
Det finns dock sätt att få tillgång till en persons Facebook-konto även utan att känna till lösenordet. Det beror på att Facebook använder något som kallas en autentiseringscookie för att hålla reda på en webbläsare när den är inloggad. Till skillnad från Facebook-lösenord, som krypteras när de skickas över Internet, skickas kakorna till Facebooks okrypterade webbservrar varje gång en dator kommunicerar med webbplatsen. Detta är inte mycket av en risk om du använder en fast internetanslutning eller en krypterad trådlös anslutning på jobbet eller hemma. Men om du använder Facebook över en okrypterad trådlös åtkomstpunkt på ett kafé eller en flygplats, kan någon som kör en paketsniffer på en bärbar dator stjäla din autentiseringskaka ur luften och sedan logga in på Facebook som du.
Sådan sniffning blev enklare än någonsin att utföra förra hösten, när Eric Butler, en frilansande webbapplikations- och mjukvaruutvecklare i Seattle, släppte en Firefox plug-in som heter Eldfår som automatiserar processen. Med Firesheep som körs i Firefox får du en lista över alla autentiseringskakor som har sniffats: klicka bara på kontonamnet och— här — du kommer åt användarens konto utan att ens behöva logga in.
Just nu är det enda sättet att skydda dig mot cookie sniffing genom att komma åt Facebook med den krypterade anslutningen på https://ssl.facebook.com/ . Enligt Axten testas servern fortfarande och kommer att marknadsföras mer allmänt som ett alternativ under de kommande månaderna. Han tillägger, Som alltid råder vi människor att vara försiktiga när de skickar eller tar emot information över osäkra Wi-Fi-nätverk.
Axten säger att Facebook står inför en säkerhetsutmaning som få, om några, andra företag, eller till och med regeringar, har ställts inför – att skydda mer än 500 miljoner människor på en tjänst som är under konstant attack. Det faktum att mindre än en procent av Facebook-användarna någonsin har stött på ett säkerhetsproblem på sajten är en betydande prestation som vi är mycket stolta över.